Décryptage d'un 'crypto drainer' Comment repérer ce pirate avant qu'il ne vide votre portefeuille

Les vols de crypto-actifs ne se résument plus à des pages de phishing isolées ou à des arnaques aux faux jetons NFT. Cette activité criminelle, qui reposait autrefois sur des acteurs individuels, s’est structurée en une véritable économie souterraine. Elle s’articule désormais autour de plateformes qui proposent des services de « draineur à la demande« .

Contrairement aux logiciels malveillants classiques, les draineurs de cryptomonnaies s’appuient principalement sur l’ingénierie sociale. Les victimes sont attirées vers de faux sites web qui proposent des airdrops, des NFT ou des services de finance décentralisée. Elles y sont invitées à connecter leur portefeuille numérique. Dès qu’elles approuvent une transaction ou une signature malveillante, l’outil peut transférer leurs actifs vers un portefeuille contrôlé par les pirates, parfois en quelques secondes.

Des chercheurs de Flare ont analysé près de 700 messages publiés entre janvier 2025 et début 2026 sur des forums et canaux souterrains liés au service « Lucifer DaaS« . Leur étude offre un aperçu exceptionnel du fonctionnement interne de ces opérations modernes.

Elle révèle un écosystème qui a gagné en professionnalisme. Les acteurs se concentrent sur la croissance de leur réseau d’affiliés, l’automatisation, la capacité à multiplier les attaques de phishing, les contournements des sécurités des portefeuilles et la résilience opérationnelle.

Les données analysées indiquent que les opérations de drainage fonctionnent de plus en plus comme des entreprises légitimes de logiciel en tant que service. Les responsables de Lucifer évoquaient des mises à jour logicielles, des corrections de bugs, des commissions pour les affiliés, un service client, des recommandations d’hébergement, des systèmes d’automatisation du déploiement, du clonage de sites web et des programmes de parrainage. Ce panorama détaillé montre comment les écosystèmes de DaaS évoluent au sein des communautés clandestines.

Qu’est-ce qu’un draineur et comment fonctionne-t-il ?

Un draineur de cryptomonnaies est un outil conçu pour voler des actifs numériques directement depuis les portefeuilles des victimes. Pour cela, il abuse des permissions et des approbations de transactions. Au lieu de pirater le portefeuille lui-même, les attaquants incitent généralement leurs cibles à se rendre sur de faux sites web. Ils les trompent pour qu’elles connectent leur portefeuille et qu’elles approuvent des demandes ou des signatures malveillantes.

Une fois l’autorisation accordée, le draineur peut transférer automatiquement les jetons, les NFT ou d’autres actifs numériques vers des portefeuilles contrôlés par les attaquants. Ce transfert s’opère souvent en quelques secondes et peut traverser plusieurs blockchains.

Le modèle du draineur à la demande

Dans ce modèle, l’opérateur développe et maintient l’infrastructure de drainage, tandis que les affiliés amènent les victimes. Le travail de l’affilié consiste à générer du trafic via des liens de phishing, de faux sites web, des comptes de réseaux sociaux compromis, des publicités, du spam ou des messages directs. L’opérateur du DaaS gère l’interaction avec le portefeuille, la logique des transactions, les alertes et le processus de drainage des actifs.

Les données sur Lucifer illustrent clairement ce modèle. Dans un message promotionnel, l’acteur explique que les affiliés fournissent « le trafic par le biais de liens de phishing, de faux sites web et de méthodes similaires », tandis que le service gère « les signatures, les approbations et les transferts de jetons ». Ce même message présente le service comme basé sur une commission et décrit le Lucifer Drainer comme une « solution professionnelle ». Elle prend en charge les jetons ERC20, le système Permit2, les signatures hors chaîne, le contournement des sécurités des portefeuilles, le multichaîne et des mises à jour régulières.

Capture d’écran du canal Telegram de Lucifer Drainer

Ce vocabulaire est révélateur. Les opérateurs ne vendent pas un kit malveillant ponctuel. Ils vendent l’accès à une plateforme.

Capture d’écran du canal Telegram de Lucifer Drainer

Leur canal Telegram confirme cette approche. Lucifer répète que le logiciel « n’est pas à vendre » et que les opérateurs prélèvent une commission de 20 % sur les « coups » réussis. En mai 2025, le canal a écrit qu’il ne vendait ni ne louait le logiciel et qu’il se contentait de partager « 20 % par coup ».

Ce modèle s’apparente davantage au programme d’affiliation des rançongiciels qu’aux anciens kits de phishing. Les développeurs maintiennent le produit, les affiliés génèrent le trafic pour monétiser l’opération et les bénéfices sont partagés.

Les plateformes DaaS comme Lucifer recrutent des affiliés via des forums souterrains et des canaux Telegram, qui sont précisément les sources que Flare surveille en continu.

Lucifer comme étude de cas

Le canal Lucifer montre comment une opération de drainage évolue publiquement pour devenir une plateforme DaaS structurée.

En mars 2025, le groupe a annoncé la version 6.6.6. Il mettait en avant la prise en charge des jetons ERC20, l’abus du système Permit2, les signatures hors chaîne, les notifications Telegram, les contournements de sécurité des portefeuilles et les fonctionnalités multichaînes. La même annonce a de nouveau souligné que le logiciel n’était pas à vendre et que les opérateurs prenaient une commission de 20 % sur les coups réussis.

Par la suite, le canal a de plus en plus ressemblé à un flux de développement logiciel plutôt qu’à une opération malveillante classique. Les opérateurs annonçaient des corrections de bugs, des mises à jour de compatibilité des portefeuilles, la prise en charge du navigateur Telegram, des améliorations du déploiement et de nouvelles fonctionnalités d’hébergement.

L’une des additions les plus marquantes a été une fonction de clonage de sites web. Elle permettait aux affiliés de copier des pages de phishing et de recevoir des fichiers ZIP préchargés avec le dernier code de Lucifer.

Avec le temps, l’opération a massivement adopté l’automatisation. Des mises à jour ultérieures ont introduit des flux de travail de déploiement « Zéro Configuration ». Ils autorisaient les affiliés à télécharger des fichiers statiques, à générer automatiquement des packages prêts pour le phishing et à déployer l’infrastructure avec un minimum de travail manuel. Cette innovation a considérablement abaissé la barrière technique pour les affiliés.

Capture d’écran de la plateforme Flare pour une publication de l’équipe Lucifer.

L’ensemble des données montre aussi que Lucifer recrutait activement au sein des communautés souterraines où d’autres marques de draineurs étaient discutées, comme Inferno, Angel, Venom, Nova, Ghost, Medusa, Vega et Monkey. Un thème récurrent dans les publications était le « trafic ». Les opérateurs insistaient à plusieurs reprises sur le fait que les affiliés avaient surtout besoin de victimes et de capacités de distribution de phishing, plus que de compétences techniques avancées.

Cependant, le groupe a aussi averti que les débutants complets n’étaient pas les bienvenus. Cela suggère que les opérateurs privilégiaient les affiliés expérimentés, capables de générer un trafic de phishing fiable avec des coûts opérationnels limités.

La résilience après les fermetures

Comme d’autres services souterrains, Lucifer a également fait preuve de résilience opérationnelle.

En août 2025, leurs bots Telegram ont été bannis. Ils ont alors demandé aux utilisateurs de leur canal de créer de nouveaux bots et de leur accorder des privilèges d’administrateur. Le groupe a aussi donné des instructions pour résoudre les problèmes de configuration après la migration.

En novembre 2025, Lucifer a indiqué qu’un domaine d documentation hébergé sur Google Firebase avait été suspendu après des rapports de chercheurs. Le groupe a réagi en déplaçant la documentation vers le système de fichiers interplanétaire, un protocole décentralisé de partage de fichiers pair à pair. Il présentait cette décentralisation comme un moyen de maintenir les opérations en activité après les fermetures.

Ce comportement reflète ce qui est observé dans l’écosystème plus large des draineurs. Les recherches de Check Point sur « Inferno Drainer » ont décrit comment l’opération continuait à s’adapter malgré les avertissements des portefeuilles, les listes noires et les défenses anti-phishing.

Pourquoi les draineurs sont si attrayants pour les cybercriminels

Les draineurs sont devenus populaires car ils correspondent à la structure du crime crypto moderne.

Les crypto-actifs sont liquides, se déplacent rapidement et sont souvent irréversibles une fois transférés. Les attaquants n’ont pas besoin de compromettre un portail bancaire ou d’attendre un compte de mule. Une approbation de portefeuille réussie peut immédiatement « vider » les actifs.

Ils profitent aussi de la confusion des utilisateurs. Les invites de portefeuille, les approbations, les signatures, les permis et les autorisations de jetons restent difficiles à comprendre pour de nombreux utilisateurs. Les attaquants exploitent cette complexité en faisant ressembler les invites malveillantes à des interactions Web3 routinières.

L’abus des mécanismes d’autorisation Permit et Permit2 est devenu particulièrement attrayant. En effet, ces mécanismes peuvent autoriser des transferts de jetons via des permissions signées plutôt que par des transferts directs évidents. Cela rend l’interaction de l’utilisateur moins alarmante, tout en offrant aux attaquants un chemin vers les actifs.

Au-delà de Lucifer

Les conclusions suggèrent que Lucifer fait partie d’un écosystème souterrain beaucoup plus vaste. Il comprend des opérations et d’autres services de drainage de portefeuilles qui rivalisent pour recruter des affiliés, générer du trafic et gagner en visibilité au sein des communautés clandestines.

Les données analysées sur Lucifer offrent un aperçu public rare du fonctionnement en coulisses des opérations DaaS modernes. Les messages collectés révèlent un écosystème centré sur le développement continu, la fidélisation des affiliés, la résilience de l’infrastructure, l’automatisation et l’évolutivité opérationnelle.

Les résultats soulignent également à quel point les opérations modernes de drainage de cryptomonnaies ressemblent de plus en plus à des entreprises légitimes de logiciel en tant que service. Au lieu de vendre un kit de phishing statique, les opérateurs de DaaS maintiennent désormais des plateformes actives. Elles sont conçues pour simplifier le déploiement, réduire les barrières techniques et maximiser l’efficacité des affiliés.

Des fonctionnalités telles que le clonage de sites web, le déploiement automatisé par ZIP, les flux de travail « Zéro Configuration », les commissions d’affiliation et les canaux de support démontrent comment la maturité opérationnelle est devenue un avantage concurrentiel au sein de l’écosystème.

Les draineurs de cryptomonnaies ne sont plus des pages de phishing isolées gérées par des acteurs individuels. Ce sont de plus en plus des plateformes de service structurées, construites autour de l’évolutivité et de la répétabilité. À mesure que ces écosystèmes continuent d’abaisser la barrière technique pour les affiliés, les opérations de vol de portefeuilles pourraient devenir plus accessibles, plus automatisées et plus difficiles à perturber à grande échelle.

Comment repérer un draineur de crypto avant qu’il ne vide votre portefeuille

Les plateformes DaaS sont conçues pour donner aux interactions malveillantes avec les portefeuilles une apparence routinière. Savoir quoi rechercher constitue la première ligne de défense. Soyez attentif à ces signes avant-coureurs avant de connecter votre portefeuille à un site de cryptomonnaie :

- Le site demande immédiatement une connexion de portefeuille.

- Une signature inattendue ou des demandes d' »Approbation » apparaissent avant que vous ne receviez quoi que ce soit.

- Le site sollicite des approbations de jetons illimitées ou des permissions de type Permit/Permit2.

- Des invites pour des « récupérations sans frais de gaz » ou des « signatures hors chaîne » exigent malgré tout une approbation du portefeuille.

- Une fausse urgence est créée avec des mentions comme « récupérez maintenant », « vérification du portefeuille », « édition limitée » ou « récompenses qui expirent ».

- Vous recevez des liens par le biais de messages privés sur Telegram, Discord, X/Twitter ou de faux comptes de support.

- Le nom de domaine du site crypto semble suspect ou a été créé récemment.

- Le site web est cloné à partir de plateformes légitimes de DeFi, de NFT ou d’échange.

- Plusieurs redirections se produisent avant d’arriver à l’invite du portefeuille.

- Les avertissements de votre portefeuille sont ignorés ou contournés par le site.

- Vous utilisez un portefeuille principal contenant des actifs importants sur des sites Web3 inconnus.

- Le site vous demande à plusieurs reprises de reconnecter votre portefeuille ou de resigner des transactions.

- Des comptes d’influenceurs ou de projets poussent soudainement des liens de récupération ou d’édition inattendus.

- Les onglets du navigateur ouvrent automatiquement de nouvelles fenêtres d’approbation de portefeuille.

- Les détails de la transaction sont vagues, vides ou difficiles à comprendre.

- Des campagnes de « NFT gratuit » ou de « jeton gratuit » exigent d’abord des approbations.

- Les administrateurs de Discord ou de Telegram contactent d’abord les utilisateurs en privé.

- Le site web demande aux utilisateurs de désactiver les protections de sécurité de leur portefeuille.

- Votre portefeuille est vidé immédiatement après que vous avez signé un message, sans que vous ayez manuellement envoyé de fonds.

- Toute plateforme qui fait pression sur les utilisateurs pour qu’ils agissent rapidement avant de vérifier la légitimité.

Comment Flare peut aider

Flare offre une visibilité anticipée sur les opérations de fraude avant qu’elles n’atteignent les victimes. En surveillant les forums souterrains, les canaux Telegram et les places de marché, Flare détecte les données divulguées, les listes de victimes et les activités de recrutement liées aux campagnes de « draineur à la demande ».

Cela permet aux organisations de réagir de manière proactive, par exemple en réinitialisant les identifiants, en alertant les utilisateurs et en renforçant les défenses, avant que les attaquants ne frappent. Cette approche réduit à la fois les risques et l’impact.

Décryptage d’un ‘crypto drainer’ Comment repérer ce pirate avant qu’il ne vide votre portefeuille

Qu’est-ce qu’un draineur et comment fonctionne-t-il ?

Le modèle du draineur à la demande

Lucifer comme étude de cas

La résilience après les fermetures

Pourquoi les draineurs sont si attrayants pour les cybercriminels

Au-delà de Lucifer

Comment repérer un draineur de crypto avant qu’il ne vide votre portefeuille

Comment Flare peut aider

MacBook Neo + AirPods 4 à prix cassé grâce à ce code réduction Cdiscount

EZVIZ EP8 Ultra : Sonnette connectée avatar double objectif qui surveille même les colis

EZVIZ C9C 3K : Caméra de sécurité Wi-Fi double objectif pour surveiller sans angle mort

POCO F7 Pro contre POCO X8 Pro Max : une expérience premium complète ou une puissance et une autonomie à profusion, telle est la question

Les smartphones OnePlus confrontés à un problème inquiétant de surchauffe

Peut-on imposer des règles de mot de passe strictes dans Active Directory sans exaspérer les utilisateurs

GCHQ établit les plans pour un système national de cyberdéfense par IA, une première mondiale

Activez cette option dans Pokelike sinon vous perdrez votre progression

TEST Edifier M90 : Les enceintes compactes suréquipées pour PC, TV et smartphone

TEST BLUETTI FridgePower : Votre frigo à l’abri des coupures électriques

TEST BLUETTI Elite 400 : Que vaut vraiment la plus ambitieuse batterie de la gamme Elite